Como registrar um agente do Migrador de Armazenamento do Azure
O serviço Migrador de Armazenamento do Azure utiliza agentes para executar os trabalhos de migração configurados no serviço. O agente é um dispositivo baseado em máquina virtual que você executa em um host de virtualização, próximo ao armazenamento de origem.
Você precisa registrar um agente para criar uma relação de confiança com seu recurso Migrador de Armazenamento. Essa confiança permite que seu agente receba com segurança trabalhos de migração e relate o progresso. O registro de agentes pode ocorrer pelo ponto de extremidade público ou privado do seu recurso Migrador de Armazenamento. Um ponto de extremidade privado, também conhecido como link privado para um recurso, pode ser implantado em uma rede virtual (VNet) do Azure.
Você pode se conectar a uma VNet do Azure a partir de outras redes, como uma rede corporativa local. Esse tipo de conexão é feito por meio de uma conexão VPN, como o Azure ExpressRoute. Para saber mais sobre essa abordagem, consulte a documentação do Azure ExpressRoute e do Link Privado do Azure.
Importante
Atualmente, o Migrador de Armazenamento pode ser configurado para rotear os dados de migração do agente para a conta de armazenamento de destino por meio do Link Privado. Pulsações e certificados de Computação Híbrida também podem ser roteados para um ponto de extremidade de serviço do Azure Arc privado na sua rede virtual (VNet). Parte do tráfego do Migrador de Armazenamento não pode ser roteado pelo Link Privado e é roteado pelo ponto de extremidade público de um recurso Migrador de Armazenamento. Esses dados incluem mensagens de controle, telemetria de progresso e logs de cópia.
Neste artigo, você aprenderá como registrar com sucesso uma máquina virtual (VM) do agente do Migrador de Armazenamento previamente implantada.
Pré-requisitos
Existem dois pré-requisitos a serem concluídos antes de registrar um agente do Migrador de Armazenamento do Azure:
Você precisa ter um recurso Migrador de Armazenamento do Azure implantado.
Siga as etapas no artigo Criar um recurso do migrador de armazenamento para implantar esse recurso em uma assinatura e região do Azure de sua escolha.Você precisa implantar a VM do agente do Migrador de Armazenamento do Azure.
Siga as etapas no artigo de implantação da VM do agente do Migrador de Armazenamento do Azure para criar a VM do agente e conectá-la à internet.
Visão geral do registro
O processo de registro do agente cria uma confiança entre o agente e o recurso Migrador de Armazenamento de nuvem. Essa confiança permite que você gerencie remotamente o agente e atribua a ele trabalhos de migração para execução.
O registro é sempre iniciado a partir do agente. Por questões de segurança, apenas o agente pode estabelecer a confiança alcançando o serviço Migrador de Armazenamento. O procedimento de registro utiliza suas credenciais e permissões do Azure no recurso de migrador de armazenamento que você implantou anteriormente. Se você ainda não tiver um recurso de nuvem de migrador de armazenamento ou uma VM do agente implantada, consulte a seção de pré-requisitos.
Etapa 1: conectar-se à VM do agente
A VM do agente é um dispositivo. Ele oferece um shell administrativo que limita as operações que você pode realizar nessa máquina. Quando você se conecta ao agente, o shell é carregado e oferece opções que permitem interagir diretamente com ele. No entanto, a VM do agente é um dispositivo baseado em Linux, e a funcionalidade de copiar e colar geralmente não funciona na janela do host padrão.
Em vez de usar a janela do host, considere usar uma conexão SSH. Essa abordagem oferece as seguintes vantagens:
- Você pode se conectar ao shell da VM do agente a partir de qualquer computador de gerenciamento e não precisa estar logado no host.
- Copiar/colar é totalmente compatível.
Em um computador na mesma sub-rede do agente, execute um comando do SSH:
ssh <AgentIpAddress> -l admin
Importante
Um agente do Migrador de Armazenamento recém-implantado tem uma senha padrão:
Usuário local: admin
Senha padrão: admin
Você será solicitado a alterar a senha padrão imediatamente após se conectar pela primeira vez a um agente recém-implantado. Anote a nova senha, pois não há nenhum processo para recuperá-la. Se você perder a senha, será bloqueado do shell administrativo. O gerenciamento de nuvem não exige essa senha de administrador local. Se o agente já tiver sido registrado, você ainda poderá usá-lo para trabalhos de migração. Os agentes são descartáveis. Eles têm pouco valor além do trabalho de migração atual que executam. Você sempre pode implantar um novo agente e usá-lo para executar o próximo trabalho de migração.
Etapa 2: testar a conectividade de rede
Seu agente precisa estar conectado à Internet.
Quando conectado ao shell administrativo, você pode testar o estado de conectividade dos agentes:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 2
Selecione o item de menu 2) Configuração de rede.
1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit
Choice: 3
Selecione o item de menu 3) Testar a conectividade de rede.
Importante
Prossiga apenas para a etapa de registro quando o teste de conectividade de rede não retornar problemas.
Etapa 3: registrar o agente
Nesta etapa, você registrará seu agente com o recurso Migrador de Armazenamento que você implantou em uma assinatura do Azure. Conecte-se ao shell administrativo do agente e selecione o item de menu 4) Registrar:
1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit
xdmsh> 4
Você será solicitado a fornecer:
ID da assinatura
Nome do grupo de recursos
Nome do recurso do migrador de armazenamento
Nome do agente: esse nome será exibido para o agente no portal do Azure. Selecione um nome que identifique claramente essa VM do agente para você. Veja a convenção de nomenclatura de recursos para escolher um nome compatível.
Escopo do Link Privado: Forneça a ID do recurso totalmente qualificado do seu Escopo do Link Privado se estiver utilizando a rede privada. Você pode encontrar mais informações no artigo de documentação do Link Privado do Azure.
Importante
Se você configurou o Migrador de Armazenamento para migrar seus dados pelo Link Privado, você deve fornecer o ID de recurso totalmente qualificado do seu Escopo do Link Privado. Por exemplo,
/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope.
Depois de fornecer esses valores, o agente tentará se registrar. Durante o processo de registro, você precisará entrar no Azure com credenciais que tenham permissões para sua assinatura e recurso Migrador de Armazenamento.
Importante
As credenciais do Azure que você usa para registro devem ter permissões de proprietário para o grupo de recursos e o recurso de migrador de armazenamento especificados.
Para autenticação, o agente utiliza o fluxo de autenticação de dispositivo com o Microsoft Entra ID.
O agente exibe a URL de autenticação do dispositivo: https://microsoft.com/devicelogin e um código de entrada exclusivo. Navegue até a URL exibida em um computador conectado à Internet, insira o código e entre no Azure com suas credenciais.
O agente exibe o progresso detalhado. Uma vez que o registro é concluído, você poderá ver o agente no portal do Azure. Ele estará em Agentes Registrados no recurso Migrador de Armazenamento com o qual você registrou o agente.
Autenticação e autorização
Para realizar uma autenticação perfeita com o Azure e autorização para vários recursos do Azure, o agente é registrado com os seguintes serviços do Azure:
- Migrador de Armazenamento do Azure (Microsoft.StorageMover)
- Azure Arc (Microsoft.HybridCompute)
Serviço do Migrador de Armazenamento do Azure
O registro no serviço de migrador de armazenamento do Azure é visível e gerenciável por meio do recurso de migrador de armazenamento implantado em sua assinatura do Azure. Um agente registrado é um recurso do ARM (Azure Resource Manager). Você só pode criar esse recurso por meio do processo de registro. Você pode consultar detalhes sobre o recurso de qualquer cliente do Azure Resource Manager. Os clientes incluem o portal do Azure, o módulo do PowerShell Az do PowerShell e a CLI do módulo do Az PowerShell.
Você pode referenciar esse recurso do ARM (Azure Resource Manager) quando quiser atribuir trabalhos de migração à VM do agente específica que ele simboliza.
Serviço do Azure Arc
O agente também é registrado no serviço do Azure Arc. O Arc é usado para atribuir e manter uma identidade gerenciada do Microsoft Entra para esse agente registrado.
O Migrador de Armazenamento do Azure usa uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada é uma entidade de serviço de um tipo especial que só pode ser usada com recursos do Azure. Quando a identidade gerenciada é excluída, a entidade de serviço correspondente é removida automaticamente.
O processo de exclusão é iniciado automaticamente quando você cancela o registro do agente. No entanto, há outras maneiras de remover essa identidade. Fazer isso incapacita o agente registrado e exige que o agente seja removido do registro. Somente o processo de registro pode fazer com que um agente obtenha e mantenha sua identidade do Azure corretamente.
Observação
Durante a visualização pública, há um efeito colateral do registro com o serviço do Azure Arc. Um recurso separado do tipo Server-Azure Arc também é implantado no mesmo grupo de recursos que o recurso de migrador de armazenamento. Você não poderá gerenciar o agente por meio desse recurso.
Pode parecer que você é capaz de gerenciar aspectos do agente de migrador de armazenamento por meio do recurso Server-Azure Arc, mas na maioria dos casos não é possível. É melhor gerenciar exclusivamente o agente por meio do painel Agentes registrados no recurso de migrador de armazenamento ou por meio do shell administrativo local.
Aviso
Não exclua o recurso do servidor Azure Arc criado para um agente registrado no mesmo grupo de recursos que o recurso Migrador de Armazenamento. O único momento seguro para excluir esse recurso é quando você cancelou o registro anteriormente do agente ao qual esse recurso corresponde.
Autorização
O agente registrado precisa ser autorizado a acessar vários serviços e recursos em sua assinatura. A identidade gerenciada é sua maneira de provar sua identidade. O serviço ou recurso do Azure pode decidir se o agente está autorizado a acessá-lo.
O agente é automaticamente autorizado a conversar com o serviço de Migrador de Armazenamento. Você não pode ver ou influenciar essa autorização a menos que destrua a identidade gerenciada, por exemplo, remover o agente do registro.
Autorização just-in-time
Para um trabalho de migração, o acesso ao ponto de extremidade de destino é talvez o recurso mais importante para o qual um agente deve ser autorizado. A autorização ocorre por meio do Controle de acesso baseado em função. Para um contêiner blobs do Azure como destino, a identidade gerenciada do agente registrado é atribuída à função interna Storage Blob Data Contributor do contêiner de destino (não de toda a conta de armazenamento). Da mesma forma, ao acessar um destino de compartilhamento de arquivos do Azure, a identidade gerenciada do agente registrado é atribuída à função interna Storage File Data Privileged Contributor.
Essas atribuições são feitas no contexto de entrada do administrador no portal do Azure. Portanto, o administrador deve ser um membro da função do plano de controle de acesso baseado em função (RBAC) "Proprietário" para o contêiner de destino. Essa atribuição é feita just-in-time quando você inicia um trabalho de migração. É neste ponto que você selecionou um agente para executar um trabalho de migração. Como parte dessa ação de início, o agente recebe permissões para o plano de dados do contêiner de destino. O agente não está autorizado a realizar nenhuma ação no plano de gerenciamento, como excluir o contêiner de destino ou configurar qualquer recurso nele.
Aviso
O acesso é concedido a um agente específico just-in-time para executar um trabalho de migração. No entanto, a autorização do agente para acessar o destino não é removida automaticamente. Você deve remover manualmente a identidade gerenciada do agente de um destino específico ou cancelar o registro do agente para destruir a entidade de serviço. Essa ação remove toda a autorização de armazenamento de destino, bem como a capacidade do agente de se comunicar com o Migrador de Armazenamento e os serviços do Azure Arc.
Próximas etapas
Defina seus pontos de extremidade de origem e destino em preparação para migrar seus dados.